教你如何巧妙设定匿名FTP的安全
“我谢月相怜”通过精心收集,向本站投稿了4篇教你如何巧妙设定匿名FTP的安全,以下是小编收集整理后的教你如何巧妙设定匿名FTP的安全,仅供参考,希望对大家有所帮助。
篇1:教你如何巧妙设定匿名FTP的安全
来源:www.chinaitlab.com/
在网络上,匿名FTP是一个很常用的服务,常用于软件下载网站,软件交流网站等,为了提高匿名FTP服务开放的过程中的安全性,我们就这一问题进行一些讨论,
以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。
设定匿名FTP
A.FTP daemon
网站必须确定目前使用的是最新版本的FTP daemon。
B设定匿名FTP的目录
匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号,或与ftp相同群组的帐号。这是 一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加文件(例如:.rhosts?n)或修改其它文件。许多网站?市硎褂?root帐号。让匿名FTP的根目录与子目录的拥有者是root,所属族群(group)为system?,如此只有root有写入的权力,这能帮助你维持FTP服务的安全???
以下是一个匿名ftp目录的设定范例:
drwxr-xr-x 7 root system 512 Mar 1 15:17 ./
drwxr-xr-x 25 root system 512 Jan 4 11:30 ../
drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/
drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/
drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/
所有的文件和链接库,特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的文
件,应该像上面范例中的目录做相同的保护。这些文件和链接库除了不应该被ftp帐号或与f
tp相同群组的帐号所拥有之外,也必须防止写入。
C.我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码文件或将系统
中 /etc/group 做为 ~ftp/etc目录中的群组文件。在~ftp/etc目录中放置这些文件会使得入
侵者取得它们。这些文件是可自定的而且不是用来做存取控制。
我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的文件。这些文件必须由roo
t所拥有。DIR命令会使用这代替的文件来显示文件及目录的拥有者和群组名称。网站必须确
定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些
文件应该仅仅包含需要显示的FTP阶层架构中文件与目录的拥有者与所属群组名称。此外,确
定密码字段是“整理”过的。例如使用「*」来取代密码字段。
以下为cert中匿名ftp的密码文件范例
ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::
cops:*:3271:20:COPS Distribution::
cert:*:9920:20:CERT::
tools:*:9921:20:CERT Tools::
ftp:*:9922:90:Anonymous FTP::
nist:*:9923:90:NIST Files::
以下为cert中匿名ftp的群组文件范例
cert:*:20:
ftp:*:90:
II..在你的匿名ftp提供可写入的目录
让一个匿名ftp服务允许使用者储存文件是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录,除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统文件灌报造成denialof service问题。
本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTP daemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。
A. 修正过的FTP daemon
假如你的网站计划提供目录用来做文件上传,我们建议使用修正过的FTP daemon对文件上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议:
1.限定上传的文件无法再被存取, 如此可由系统管理者检测后,再放至于适当位置供人下载。
2.限制每个联机的上传资料大小。
3.依照现有的磁盘大小限制数据传输的总量。
4.增加登录记录以提前发现不当的使用。
若您欲修改FTP daemon, 您应该可以从厂商那里拿到程序代码, 或者您可从下列地方取得公开的FTP程序原始码:
wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd
ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd
gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z
CERT/CC 并没有正式地对所提到的FTP daemon做检测、评估或背书,
要使用何种FTP daemon 由每个使用者或组织负责决定,而CERT/CC建议每个机关在安装使用这些程序之前, 能做一个彻底的评估。
B. 使用保护的目录
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon, 我们就可以使用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区域遭不当使用, 不过许多FTP站仍使用此方法。
为了保护上层的目录(~ftp/incoming), 我们只给匿名的使用者进入目录的权限(chmod 751~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd),但不允许使用者检视目录内容。Ex:
drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/
在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录名称, 我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现您的目录名, 并上传文件)
drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/
drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/
很重要的一点是,一旦目录名被有意无意的泄漏出来, 那这个方法就没什么保护作用。只要目录名称被大部分人知道, 就无法保护那些要限定使用的区域。假如目录名被大家所知道,那你就得选择删除或更改那些目录名。
C. 只使用一颗硬盘:
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon,您可以将所有上传的资料集中在同一个挂(mount)在~ftp/incoming上的文件系统。可以的话 ,将一颗单独的硬盘挂(mount)在~ftp/incoming上。系统管理者应持续检视这个目录(~ftp/incoming), 如此便可知道开放上传的目录是否有问题。
限制FTP用户目录
匿名FTP可以很好地限制用户只能在规定的目录范围内活动,但正式的FTP用户默认不会受到这种限制,这样,他可以自由在根目录、系统目录、其他用户的目录中读取一些允许其他用户读取的文件。
如何才能把指定的用户象匿名用户一样限制在他们自己的目录中呢?以下我们以red hat和wu-ftp为例做一介绍。
1 创建一个组,用groupadd命令,一般可以就用ftp组,或者任何组名.
-----相关命令: groupadd ftpuser
-----相关文件: /etc/group
-----相关帮助: man groupadd
2 创建一个用户,如testuser,建立用户可用adduser命令.如果你已在先前建立了 testuser这个用户,可以直接编辑/etc/passwd文件,把这个用户加入到ftpuser这个组中.
-----相关命令: adduser testuser -g ftpuser
-----相关文件: /etc/passwd
-----相关帮助: man adduser
3 修改/etc/ftpaccess文件,加入guestgroup的定义: guestgroup ftpuser我是这样改的,加的是最后5行
compress yes all
tar yes all
chmod no anonymous
delete no anonymous
overwrite no anonymous
rename no anonymous
chmod yes guest
delete yes guest
overwrite yes guest
rename yes guest
guestgroup ftpuser
除了加 guestgroup ftpuser 这行,其他4行也要加上,否则用户登陆后,虽然可以达到用户不能返回上级目录的目的,但是却只能上传,不能覆盖、删除文件!
-----相关命令: vi /etc/ftpaccess
-----相关文件: /etc/ftpaccess
-----相关帮助: man ftpaccess,man chroot
4 向这个用户的根目录下拷贝必要的文件,拷贝ftp server自带的目录,把 /home/ftp/下的Bin,lib两个目录拷贝到这个用户的根目录下,因为一些命令(主要是ls)需要Lib支持,否则不能列目录和文件.
-----相关命令:
cp -rf /home/ftp/lib /home/testuser;cp -rf /home/ftp/bin /home/testuser
5 另外可别忘了关掉用户的telnet权,否则就白做了噢. 怎么不让用户telnet呢?很简单: 在/etc/shells里加一行/dev/null ,然后可以直接编辑/etc/passwd文件,把用户的shell设置为/dev/null就可以了.
-----相关命令: vi /etc/passwd
这一步可以在步骤2 创建一个用户时就先做好.
-----相关命令: adduser testuser -g ftpuser -s /dev/null
小经验:只要把/home/ftp下的bin和lib目录cp到/etc/skel目录里,以后新建用户都会自动把bin和lib目录CP到用户目录里,当然你也可以加上public_html目录和cgi-bin目录.
经过以上设置,testuser这个用户的所有FTP动作将限制在他的/home/testuser目录中
篇2:提高网络服务安全性 匿名FTP安全设定
提高网络服务安全性 匿名FTP安全设定
。第二节提出当一个网站要在匿名FTP下提供可写入目录区的 相关议题与面临的问题。第三节提供CERT以前的FTP 相关Advisories信息。 以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。 I.设定匿名FTP
正文:匿名FTP的设定 匿名FTP若有正确地设定与管理,将是一项很有价值的服务。这份文件的第一节提供一般 匿名FTP最起始的设定方式。第二节提出当一个网站要在匿名FTP下提供可写入目录区的 相关议题与面临的问题。第三节提供CERT以前的FTP 相关Advisories信息。
以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。
I.设定匿名FTP
A.FTP daemon
网站必须确定目前使用的是最新版本的FTP daemon。
B.设定匿名FTP的目录
匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号,或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加档案(例如:.rhostsn)或修改其它档案。许多网站允许使用root帐号。让匿名FTP的根目录与子目录的拥有者是root,所属族群(group)为system,并限定存取权(如chmod 0755),如此只有root有写入的权力,这能帮助你维持FTP服务的安全。
以下是一个匿名ftp目录的设定范例:
drwxr-xr-x 7 root system 512 Mar 1 15:17 ./drwxr-xr-x 25 root system 512 Jan 4 11:30 ../drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/
所有的档案和链接库,特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的档案,应该像上面范例中的目录做相同的保护。这些档案和链接库除了不应该被ftp帐号或与ftp相同群组的帐号所拥有之外,也必须防止写入。
C.使用合适的密码与群组档案
我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码档案或将系统中 /etc/group 做为 ~ftp/etc目录中的群组档案。在~ftp/etc目录中放置这些档案会使得入侵者取得它们。这些档案是可自定的而且不是用来做存取控制。
我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的档案。这些档案必须由root所拥有。DIR命令会使用这代替的档案来显示档案及目录的拥有者和群组名称。网站必须确定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些档案应该仅仅包含需要显示的FTP阶层架构中档案与目录的拥有者与所属群组名称。此外,确定密码字段是“整理”过的。例如使用「*」来取代密码字段。
以下为cert中匿名ftp的密码档案范例
ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::cops:*:3271:20:COPS Distribution::cert:*:9920:20:CERT::tools:*:9921:20:CERT Tools::ftp:*:9922:90:Anonymous FTP::nist:*:9923:90:NIST Files::
以下为cert中匿名ftp的群组档案范例
cert:*:20:ftp:*:90:
II.在你的匿名ftp提供可写入的目录
让一个匿名ftp服务允许使用者储存档案是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录,除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统档案灌报造成denial of service问题。
本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTP daemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。
A.修正过的FTP daemon
假如你的网站计划提供目录用来做档案上传,我们建议使用修正过的FTP daemon对档案上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议:
1.限定上传的档案无法再被存取, 如此可由系统管理者检测后,再放至于适当位置供人下载。
2.限制每个联机的上传资料大小。
3.依照现有的磁盘大小限制数据传输的总量。
4.增加登录记录以提前发现不当的使用。
若您欲修改FTP daemon, 您应该可以从厂商那里拿到程序代码,或者您可从下列地方取得公开的FTP程序原始码:
wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpdftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpdgatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z
CERT/CC 并没有正式地对所提到的FTP daemon做检测、评估或背书,
《提高网络服务安全性 匿名FTP安全设定》()。要使用何种FTP daemon由每个使用者或组织负责决定,而CERT/CC建议每个机关在安装使用这些程序之前,能做一个彻底的评估。
B.使用保护的目录
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon, 我们就可以使用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区域遭不当使用, 不过许多FTP站仍使用此方法。
为了保护上层的目录(~ftp/incoming),我们只给匿名的使用者进入目录的权限(chmod751~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd),但不允许使用者检视目录内容。Ex:drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录名称, 我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现您的目录名,并上传档案)
drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/
drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/
很重要的一点是,一旦目录名被有意无意的泄漏出来, 那这个方法就没什么保护作用。
只要目录名称被大部分人知道, 就无法保护那些要限定使用的区域。假如目录名被大家所知道, 那你就得选择删除或更改那些目录名。
C.只使用一颗硬盘
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon,您可以将所有上传的资料集中在同一个挂(mount)在~ftp/incoming上的档案系统。可以的话,将一颗单独的硬盘挂(mount)在~ftp/incoming上。系统管理者应持续检视这个目录(~ftp/incoming), 如此便可知道开放上传的目录是否有问题。
III.限制FTP用户目录
匿名FTP可以很好地限制用户只能在规定的目录范围内活动,但正式的FTP用户默认不会受到这种限制,这样,他可以自由在根目录、系统目录、其他用户的目录中读取一些允许其他用户读取的文件。
如何才能把指定的用户象匿名用户一样限制在他们自己的目录中呢?以下我们以red hat和wu-ftp为例做一介绍。
1 创建一个组,用groupadd命令,一般可以就用ftp组,或者任何组名。
-----相关命令:groupadd ftpuser
-----相关文件:/etc/group
-----相关帮助:man groupadd
2 创建一个用户,如testuser,建立用户可用adduser命令。如果你已在先前建立了 testuser这个用户,可以直接编辑/etc/passwd文件,把这个用户加入到ftpuser这个组中。
-----相关命令:adduser testuser -g ftpuser
-----相关文件:/etc/passwd
-----相关帮助:man adduser
3 修改/etc/ftpaccess文件,加入guestgroup的定义:guestgroup ftpuser我是这样改的,加的是最后5行:
compress yes all tar yes all chmod no anonymous delete no anonymous overwrite no anonymous rename no anonymous chmod yes guest delete yes guest overwrite yes guest rename yes guest guestgroup ftpuser
除了加 guestgroup ftpuser 这行,其他4行也要加上,否则用户登陆后,虽然可以达到用户不能返回上级目录的目的,但是却只能上传,不能覆盖、删除文件!
-----相关命令:vi /etc/ftpaccess
-----相关文件:/etc/ftpaccess
-----相关帮助:man ftpaccess,man chroot
4 向这个用户的根目录下拷贝必要的文件,拷贝ftp server自带的目录,把 /home/ftp/下的bin,lib两个目录拷贝到这个用户的根目录下,因为一些命令(主要是ls)需要Lib支持,否则不能列目录和文件。
-----相关命令:
cp -rf /home/ftp/lib /home/testuser;cp -rf /home/ftp/bin /home/testuser
5 另外可别忘了关掉用户的telnet权,否则就白做了噢。怎么不让用户telnet呢?很简单:在/etc/shells里加一行/dev/null,然后可以直接编辑/etc/passwd文件,把用户的shell设置为/dev/null就可以了。
-----相关命令:vi /etc/passwd
这一步可以在步骤2 创建一个用户时就先做好。
-----相关命令:adduser testuser -g ftpuser -s /dev/null
小经验:只要把/home/ftp下的bin和lib目录cp到/etc/skel目录里,以后新建用户都会自动把bin和lib目录CP到用户目录里,当然你也可以加上public_html目录和cgi-bin目录。
经过以上设置,testuser这个用户的所有FTP动作将限制在他的/home/testuser目录中。
篇3:提高网络安全性:匿名FTP安全设定服务器教程
匿名FTP的设定:匿名FTP若有正确地设定与管理,将是一项很有价值的服务,这份文件的第一节提供一般匿名FTP最起始的设定方式。第二节提出当一个网站要在匿名FTP下提供可写入目录区的相关议题与面临的问题。第三节提供CERT以前的FTP 相关Advisories信息。
以下的设定方式是由过去许多网站累积的经验与建议组成。我们认为可以让有个别需求的网站拥有不同设定的选择。
I.设定匿名FTP
A.FTP daemon
网站必须确定目前使用的是最新版本的FTP daemon。
B.设定匿名FTP的目录
匿名ftp的根目录(~ftp)和其子目录的拥有者不能为ftp帐号,或与ftp相同群组的帐号。这是一般常见的设定问题。假如这些目录被ftp或与ftp相同群组的帐号所拥有,又没有做好防止写入的保护,入侵者便可能在其中增加档案(例如:.rhostsn)或修改其它档案。许多网站允许使用root帐号。让匿名FTP的根目录与子目录的拥有者是root,所属族群(group)为system,并限定存取权(如chmod 0755),如此只有root有写入的权力,这能帮助你维持FTP服务的安全。
以下是一个匿名ftp目录的设定范例:
drwxr-xr-x 7 root system 512 Mar 1 15:17 ./
drwxr-xr-x 25 root system 512 Jan 4 11:30 ../
drwxr-xr-x 2 root system 512 Dec 20 15:43 bin/
drwxr-xr-x 2 root system 512 Mar 12 16:23 etc/
drwxr-xr-x 10 root system 512 Jun 5 10:54 pub/
所有的档案和链接库,特别是那些被FTP daemon使用和那些在 ~ftp/bin 与~ftp/etc 中的档案,应该像上面范例中的目录做相同的保护。这些档案和链接库除了不应该被ftp帐号或与ftp相同群组的帐号所拥有之外,也必须防止写入。
C.使用合适的密码与群组档案
我们强烈建议网站不要使用系统中 /etc/passwd 做为~ftp/etc 目录中的密码档案或将系统中 /etc/group 做为 ~ftp/etc目录中的群组档案。在~ftp/etc目录中放置这些档案会使得入侵者取得它们。这些档案是可自定的而且不是用来做存取控制。
我们建议你在 ~ftp/etc/passwd 与 ~ftp/etc/group 使用代替的档案。这些档案必须由root所拥有。DIR命令会使用这代替的档案来显示档案及目录的拥有者和群组名称。网站必须确定 ~/ftp/etc/passwd档中没有包含任何与系统中 /etc/passwd文件中相同的帐号名称。这些档案应该仅仅包含需要显示的FTP阶层架构中档案与目录的拥有者与所属群组名称。此外,确定密码字段是“整理”过的。例如使用「*」来取代密码字段。
以下为cert中匿名ftp的密码档案范例:
ssphwg:*:3144:20:Site Specific Policy Handbook Working Group::
cops:*:3271:20:COPS Distribution::
cert:*:9920:20:CERT::
tools:*:9921:20:CERT Tools::
ftp:*:9922:90:Anonymous FTP::
nist:*:9923:90:NIST Files::
以下为cert中匿名ftp的群组档案范例:
cert:*:20:
ftp:*:90:
II.在你的匿名ftp提供可写入的目录
让一个匿名ftp服务允许使用者储存档案是有风险存在的。我们强烈提醒网站不要自动建立一个上传目录,除非已考虑过相关的风险。CERT/CC的事件回报成员接获许多使用上传目录造成非法传输版权软件或交换帐号与密码信息的事件。也接获恶意地将系统档案灌报造成denial of service问题。
本节在讨论利用三种方法来解决这个问题。第一种方法是使用一个修正过的FTP daemon。第二个方法是提供对特定目录的写入限制。第三种方法是使用独立的目录。
A.修正过的FTP daemon
假如你的网站计划提供目录用来做档案上传,我们建议使用修正过的FTP daemon对档案上传的目录做存取的控制。这是避免使用不需要的写入区域的最好的方法。以下有一些建议:
1.限定上传的档案无法再被存取, 如此可由系统管理者检测后,再放至于适当位置供人下载。
2.限制每个联机的上传资料大小。
3.依照现有的磁盘大小限制数据传输的总量。
4.增加登录记录以提前发现不当的使用。
若您欲修改FTP daemon, 您应该可以从厂商那里拿到程序代码,或者您可从下列地方取得公开的FTP程序原始码:
wuarchive.wustl.edu ~ftp/packages/wuarchive-ftpd
ftp.uu.net ~ftp/systems/unix/bsd-sources/libexec/ftpd
gatekeeper.dec.com ~ftp/pub/DEC/gwtools/ftpd.tar.Z
CERT/CC 并没有正式地对所提到的FTP daemon做检测、评估或背书,
要使用何种FTP daemon由每个使用者或组织负责决定,而CERT/CC建议每个机关在安装使用这些程序之前,能做一个彻底的评估。
B.使用保护的目录
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon, 我们就可以使用较复杂的目录架构来控制存取。这个方法需要事先规划并且无法百分之百防止FTP可写入区域遭不当使用, 不过许多FTP站仍使用此方法。
为了保护上层的目录(~ftp/incoming),我们只给匿名的使用者进入目录的权限(chmod751~ftp/incoming)。这个动作将使得使用者能够更改目录位置(cd),但不允许使用者检视目录内容。Ex:drwxr-x--x 4 root system 512 Jun 11 13:29 incoming/在~ftp/incoming使用一些目录名只让你允许他们上传的人知道。为了要让别人不易猜到目录名称, 我们可以用设定密码的规则来设定目录名称。请不要使用本文的目录名称范例(避免被有心人士发现您的目录名,并上传档案)
drwxr-x-wx 10 root system 512 Jun 11 13:54 jAjwUth2/
drwxr-x-wx 10 root system 512 Jun 11 13:54 MhaLL-iF/
很重要的一点是,一旦目录名被有意无意的泄漏出来, 那这个方法就没什么保护作用。只要目录名称被大部分人知道, 就无法保护那些要限定使用的区域。假如目录名被大家所知道, 那你就得选择删除或更改那些目录名。
C.只使用一颗硬盘
假如你想要在你的FTP站提供上传的服务, 而你又没办法去修改FTP daemon,您可以将所有上传的资料集中在同一个挂(mount)在~ftp/incoming上的档案系统。可以的话,将一颗单独的硬盘挂(mount)在~ftp/incoming上。系统管理者应持续检视这个目录(~ftp/incoming), 如此便可知道开放上传的目录是否有问题。
III.限制FTP用户目录
匿名FTP可以很好地限制用户只能在规定的目录范围内活动,但正式的FTP用户默认不会受到这种限制,这样,他可以自由在根目录、系统目录、其他用户的目录中读取一些允许其他用户读取的文件。
如何才能把指定的用户象匿名用户一样限制在他们自己的目录中呢?以下我们以red hat和wu-ftp为例做一介绍。
1 创建一个组,用groupadd命令,一般可以就用ftp组,或者任何组名。
-----相关命令:groupadd ftpuser
-----相关文件:/etc/group
-----相关帮助:man groupadd
2 创建一个用户,如testuser,建立用户可用adduser命令。如果你已在先前建立了 testuser这个用户,可以直接编辑/etc/passwd文件,把这个用户加入到ftpuser这个组中。
-----相关命令:adduser testuser -g ftpuser
-----相关文件:/etc/passwd
-----相关帮助:man adduser
3 修改/etc/ftpaccess文件,加入guestgroup的定义:guestgroup ftpuser我是这样改的,加的是最后5行:
compress yes all
tar yes all
chmod no anonymous
delete no anonymous
overwrite no anonymous
rename no anonymous
chmod yes guest
delete yes guest
overwrite yes guest
rename yes guest
guestgroup ftpuser
除了加 guestgroup ftpuser 这行,其他4行也要加上,否则用户登陆后,虽然可以达到用户不能返回上级目录的目的,但是却只能上传,不能覆盖、删除文件!
-----相关命令:vi /etc/ftpaccess
-----相关文件:/etc/ftpaccess
-----相关帮助:man ftpaccess,man chroot
4 向这个用户的根目录下拷贝必要的文件,拷贝ftp server自带的目录,把 /home/ftp/下的bin,lib两个目录拷贝到这个用户的根目录下,因为一些命令(主要是ls)需要Lib支持,否则不能列目录和文件。
-----相关命令:
cp -rf /home/ftp/lib /home/testuser;cp -rf /home/ftp/bin /home/testuser
5 另外可别忘了关掉用户的telnet权,否则就白做了噢。怎么不让用户telnet呢?很简单:在/etc/shells里加一行/dev/null,然后可以直接编辑/etc/passwd文件,把用户的shell设置为/dev/null就可以了。
-----相关命令:vi /etc/passwd
这一步可以在步骤2 创建一个用户时就先做好。
-----相关命令:adduser testuser -g ftpuser -s /dev/null
小经验:只要把/home/ftp下的bin和lib目录cp到/etc/skel目录里,以后新建用户都会自动把bin和lib目录CP到用户目录里,当然你也可以加上public_html目录和cgi-bin目录。
经过以上设置,testuser这个用户的所有FTP动作将限制在他的/home/testuser目录中。
请作者联系本站,及时附注您的姓名。联系邮箱:edu#chinaz.com(把#改为@)。
篇4:教你巧妙设置防御 让上网冲浪少受安全“骚扰”
Internet网络中既有明媚阳光,也有潜流暗壑,在该网络中尽情冲浪时,稍微不留神可能会遭遇到各式各样的“骚扰”,例如垃圾广告了、网络病毒了、恶意程序了等等,这些“骚扰”既影响上网冲浪的心情,也会拖累上网访问的效率,更有可能引来安全威胁,既然知道上网冲浪有可能会遭遇这么多“骚扰”,那么我们为什么在冲浪之前不采取安全应对措施,来让上网冲浪少受安全“骚扰”呢?那好,现在我们就通过设置Windows系统,来让上网冲浪少受安全“骚扰”!
1、远离页面广告“骚扰”
很多时候,尽管我们对IE浏览器进行了比较严格的安全设置,不过在打开一些特殊的站点页面内容时,对应站点中的一些没有控制按钮的垃圾广告页面窗口仍然会强行弹出;对于这种强行弹出式的垃圾广告,我们该采取什么办法让IE浏览器远离这样的“骚扰”呢?其实很简单,我们只要想办法对IE浏览器的核心进程文件进行合适授权,让恶意程序无法随意调用IE浏览器,就可以远离页面广告的“骚扰”了,下面就是该方法的具体实现步骤:
首先依次单击本地系统桌面中的“开始”/“程序”/“附件”/“Windows资源管理器”命令,从中找到IE浏览器所在的磁盘分区,打开该分区的属性设置窗口,检查其是否使用了NTFS分区格式,一旦发现目标磁盘分区不是使用的NTFS分区,我们可以打开对应系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行文本框中输入“convert x:/F:NTFS”字符串命令(其中“x”为目标磁盘分区盘符),单击回车键后,目标磁盘分区的格式就被成功转换成NTFS格式了;
其次逐一展开系统资源管理器窗口中的“Program Files”、“Internet Explorer”文件夹,在目标文件夹窗口中选中IE浏览器启动运行时的核心进程文件―“IEXPLORE.EXE”,同时用鼠标右击该进程文件,再点选右键菜单中的“属性”命令,打开“IEXPLORE.EXE”进程的属性设置对话框;
接着在该设置对话框中点选“安全”选项卡,在选项设置页面,从该页面中选中普通权限的用户所使用的用户账号名称,同时将它的“运行”操作权限调整为“拒绝”,再单击“确定”按钮执行设置保存操作,这么一来恶意程序对IE浏览器就没有访问权限了,此时恶意广告页面也就不会自动出现了,
2、远离自动下载“骚扰”
当我们尝试使用IE浏览器上网访问时,网站上的一些恶意内容可能不经过我们的允许自动“入驻”到本地硬盘中,日后这些恶意内容突然发作时,就容易造成本地系统的隐私信息丢失或发生系统运行不正常的现象。为了让上网冲浪少受自动下载“骚扰”,我们可以按照下面的操作步骤来设置本地计算机系统的相关组策略参数,以便禁止网站上的内容自动下载到本地硬盘中:
首先打开本地计算机系统的“开始”菜单,点选其中的“运行”命令,在弹出的系统运行文本框中,输入字符串命令“gpedit.msc”,单击回车键后,打开对应系统的组策略控制台窗口;
其次在该控制台窗口的左侧位置处,点选“计算机配置”节点选项,从目标节点下面逐一展开“管理模板”、“Windows组件”、“Internet Explorer”、“安全功能”、“限制文件下载”选项,再从“限制文件下载”选项下面找到目标组策略“Internet Explorer进程”,并用鼠标双击该进程选项,打开设置对话框;
选中其中的“已启用”选项,同时单击“确定”按钮,保存好上述设置操作,如此一来我们日后尝试使用IE浏览器上网访问站点内容时,潜藏在对应站点背后的恶意程序就不会自动下载保存到本地计算机硬盘中了,那么本地系统也就不会轻易遭遇恶意程序的攻击了。
如果我们平时上网访问时使用的是其他浏览器时,可以从“限制文件下载”节点选项下面双击“所有进程”选项,在其后出现的选项设置窗口中,选中“已启用”选项,再单击“确定”按钮保存好上述设置操作,如此一来我们日后使用任何类型的浏览器上网时,都不会受到自动下载的“骚扰”。
【教你如何巧妙设定匿名FTP的安全】相关文章:
1.教你巧妙清洁冰箱
8.地上权设定契约书
9.个人目标设定计划
10.巧妙管理音乐文件
文档为doc格式
